Fail2Ban Ersatz für IPv6
- Ersteller Gruß Thomas!
- Erstellt am
Gruß Thomas!
Grand Admiral Special
Ich hätte da mal ne Frage. Ich betreibe jetzt schon seit ein paar Wochen meinen eigenen vServer. Habe zumindest IPv4 schon ziemlich gut gesichert mit fail2ban und Co. Aber ich bräuchte einen IPv6 tauglichen Ersatz für fail2ban.
Der Server wird zwar hauptsächlich als Game und HTTP Server genutzt und da frage ich mich, ob es nicht (zumindest vorerst) reicht, IPv6 auszuschalten.
Und noch was:
Wie schaut das mit IPTables aus, muss ich da Ports schließen, wenn ich weiß, welche Daemons ich laufen habe? D.h. dass ich mir nicht extra Mühe machen muss, da extra Regeln einzupflegen?
System: Debian 2.6.32-5 i686-Kernel.
Der Server wird zwar hauptsächlich als Game und HTTP Server genutzt und da frage ich mich, ob es nicht (zumindest vorerst) reicht, IPv6 auszuschalten.
Und noch was:
Wie schaut das mit IPTables aus, muss ich da Ports schließen, wenn ich weiß, welche Daemons ich laufen habe? D.h. dass ich mir nicht extra Mühe machen muss, da extra Regeln einzupflegen?
System: Debian 2.6.32-5 i686-Kernel.
BoMbY
Grand Admiral Special
Naja, normalerweise sollte man es so machen, dass man per iptables und ip6tables alles sperrt, und nur das freigibt, was wirklich notwendig ist.
Wenn der Server ansonsten ordentlich konfiguriert ist, braucht man sowas wie fail2ban eigentlich nicht. Etwas ausgefeilter, und mit IPv6-Unterstützung wäre dann vielleicht Snort.
Wenn der Server ansonsten ordentlich konfiguriert ist, braucht man sowas wie fail2ban eigentlich nicht. Etwas ausgefeilter, und mit IPv6-Unterstützung wäre dann vielleicht Snort.
Gruß Thomas!
Grand Admiral Special
Naja bei fail2ban gehts mir halt um das aussperren von Bruteforceattacken via ssh Logins.
Und wegen iptables: Ich bilde mir ein gelesen zu haben, dass ohnehin nur Ports offen sind, wenn da ein Daemon dahintersteckt.
EDIT:
Snort blockiert mir Anfragen auf den CS Servern.
Und wegen iptables: Ich bilde mir ein gelesen zu haben, dass ohnehin nur Ports offen sind, wenn da ein Daemon dahintersteckt.
EDIT:
Snort blockiert mir Anfragen auf den CS Servern.
Zuletzt bearbeitet:
BoMbY
Grand Admiral Special
Ja, aber weißt Du alle Ports welche die freigeben?
Und zu dem fail2ban und IPv6 - ich hab mir das gerade mal angesehen: Vermutlich ist alles was man braucht ein kleines Script, welches anstelle von iptables in die Config eingebunden wird, und dann je nachdem um welchen Adresstyp es sich handelt iptables oder ip6tables aufruft.
.
EDIT :
.
Alles eine Frage der Konfiguration denke ich mal ...
Und zu dem fail2ban und IPv6 - ich hab mir das gerade mal angesehen: Vermutlich ist alles was man braucht ein kleines Script, welches anstelle von iptables in die Config eingebunden wird, und dann je nachdem um welchen Adresstyp es sich handelt iptables oder ip6tables aufruft.
.
EDIT :
.
Alles eine Frage der Konfiguration denke ich mal ...
tspoon
Grand Admiral Special
fail2ban musste dann eigne regeln festlegen oder schreibst komplett deine eignen scripte.
aber ich glaube wenn ipv6 aktuell wird , wird auf fail2ban nen update bringen. eigentlich sinds ja nur filterregeln, die angepasst werden müssen.
desweiteren hilft es, wenn man den ssh port ändert (was man eh machen sollte) oder so konfiguriert, das er nur für bestimmte ip zugänglich ist.
es gibt viele arten seinen server zu schützen ( ppk statt passwort
), nur sollte man drauf achten das man sich nicht selbst ausperrt 
als erstes würde ich den ssh port abändern. musste halt im putty den port angeben was solls. wenn man ppk verwendet kann man auch dad root-passwort beliebig ändern. aller 5 minuten oder 1 stunde. dann können sie sich austoben weitere vorteil brauchst kein pw mehr eingeben, sondern nur für deinen ppk
nicht vergessen je mehr ips in der iptables stehen desto langsamer wird das ganze. also ips nach 2 stunden oder 1 tag wieder freigeben, sonst kommst auch irgendwann nicht mehr auf den server.
aber ich glaube wenn ipv6 aktuell wird , wird auf fail2ban nen update bringen. eigentlich sinds ja nur filterregeln, die angepasst werden müssen.
desweiteren hilft es, wenn man den ssh port ändert (was man eh machen sollte) oder so konfiguriert, das er nur für bestimmte ip zugänglich ist.
es gibt viele arten seinen server zu schützen ( ppk statt passwort
), nur sollte man drauf achten das man sich nicht selbst ausperrt als erstes würde ich den ssh port abändern. musste halt im putty den port angeben was solls. wenn man ppk verwendet kann man auch dad root-passwort beliebig ändern. aller 5 minuten oder 1 stunde. dann können sie sich austoben weitere vorteil brauchst kein pw mehr eingeben, sondern nur für deinen ppk nicht vergessen je mehr ips in der iptables stehen desto langsamer wird das ganze. also ips nach 2 stunden oder 1 tag wieder freigeben, sonst kommst auch irgendwann nicht mehr auf den server.
Gruß Thomas!
Grand Admiral Special
Danke für den Tip mit dem Port.
Schon mal an Port knocking (http://de.wikipedia.org/wiki/Portknocking) gedacht?
Gruß Thomas!
Grand Admiral Special
Nope. Danke 
Gruß Thomas!
Grand Admiral Special
Portknocking ist schon was richtig cooles. Jetzt können sie ja mal versuchen meinen ssh zu broteforcen... fail2ban auf 3 Fehlversuche mit 15 Minuten ban eingestellt und Knockd auf 60Sekunden Timeout.
Ich hab nur gemeint, dass ich nicht dran gedacht hab. Gemacht hab ichs gerade, vor allem deswegen, weil in den logs was von irgendwelchen zufälligen Portnummern stand. Dann sollen sie einfach mal durchprobieren wie sie wollen. Vor allem die Kombination mit fail2ban ist ja böse
.
Ich hab nur gemeint, dass ich nicht dran gedacht hab. Gemacht hab ichs gerade, vor allem deswegen, weil in den logs was von irgendwelchen zufälligen Portnummern stand. Dann sollen sie einfach mal durchprobieren wie sie wollen. Vor allem die Kombination mit fail2ban ist ja böse
.
Zuletzt bearbeitet:
Gruß Thomas!
Grand Admiral Special
Wollte mich wirklich nochmal bedanken für den Tipp mit Portknocking. Mein auth.log ist jetzt Picobello sauber von Bruteforceattacken.
Fail2ban kann noch mehr...
z.B. Morpheus Attaken (404) abwähren. Klar kann man mittels Fail2ban und Knockd den SSH Login so ziemlich sicher machen aber dann sollte der Rest z.B. FTP, Apache, mySQL, phpmyAdmin genauso sicher sein.
Bei FTP kann man es ähnlich wie bei SSH machen, Portverlegung und Überwachung durch Fail2Ban. (Bei guten FTP Programmen kann man den Port ändern)
phpMyadmin Alias in Apache ändern und mit Passwortabfrage durch .htaccess zusätzlich absichern.
und ein Blick wenn auch nur ein kurzer auf DenyHost lohnt sich auch.
z.B. Morpheus Attaken (404) abwähren. Klar kann man mittels Fail2ban und Knockd den SSH Login so ziemlich sicher machen aber dann sollte der Rest z.B. FTP, Apache, mySQL, phpmyAdmin genauso sicher sein.
Bei FTP kann man es ähnlich wie bei SSH machen, Portverlegung und Überwachung durch Fail2Ban. (Bei guten FTP Programmen kann man den Port ändern)
phpMyadmin Alias in Apache ändern und mit Passwortabfrage durch .htaccess zusätzlich absichern.
und ein Blick wenn auch nur ein kurzer auf DenyHost lohnt sich auch.
